Author Archive

App(le)-Store-Reklame

Posted by Birgit von Maurnböck

2023 – das Jahr der Strafen gegen Tech-Riesen?

Das Jahr 2023 ist erst wenige Wochen alt und schon jetzt versuchen sich die europäischen Datenschutzbehörden mit Strafen gegen Tech-Konzerne gegenseitig den Rang der „Bußgeld-Top News“ in diversen Portalen abzulaufen. Begonnen hatte die irische Datenschutzbehörde (DPC), welche gegen die Facebook- und Instagram- Mutter Meta Platforms eine Strafe von satten 390 Millionen Euro für Verstöße gegen die Datenschutzgrundverordnung im Werbegeschäft verhängte. Die französische Datenschutzbehörde (CNIL) zog nur kurz darauf nach und veröffentlichte ihrerseits ein noch im Dezember 2022 verhängtes Bußgeld gegen den Konzern Apple in der Höhe von immerhin 8 Millionen Euro. Laut CNIL hat Apple gegen französische (Datenschutz-) Gesetze verstoßen, da für zielgerichtete Werbung (Targeting) keine Einwilligung im App Store eingeholt wurde.

Die Ausgangslage

Eine Privatperson beschwerte sich bei der CNIL über die Personalisierung von Werbung im Apple App Store, woraufhin die CNIL bereits in den Jahren 2021 und 2022 mehrere Untersuchungen im genannten App Store durchführte. Und sie wurde fündig: Eine Zustimmung der französischen iPhone-Nutzer (Betriebssystem 14.6) für zielgerichtete Werbung (Targeting) wurde im App Store – bevor dieser Kennungen für Werbezwecke auf den Endgeräten hinterlegte – nicht eingeholt. Ein Verstoß gegen das französische Datenschutzgesetz, so die CNIL.

Keine Einwilligung eingeholt

„Die CNIL stellte fest, dass unter der alten Version 14.6 des iPhone-Betriebssystems, Identifier für bestimmte Zwecke – darunter der Personalisierung von im App Store gespeicherten Werbeanzeigen – standardmäßig automatisch aus dem Endgerät ausgelesen wurden, ohne dass eine Einwilligung eingeholt wurde.“ Nach Recherche der CNIL erfolgte das bei jedem Besuch im App Store.
Es gibt zwar eine Möglichkeit, diesen Parameter als Nutzer erfolgreich zu deaktivieren, dazu muss aber vorab eine unzumutbare Vielzahl an Aktionen ausgeführt werden.

Apple sieht sich im Recht

Für gewöhnlich bei verhängten Strafen gegen Tech-Konzerne, nehmen diese die Bußgelder zwar zur Kenntnis, sind aber mit der Begründung alles andere als einverstanden und auch in diesem Fall sieht sich Apple im Recht: Man biete den Nutzern „eine klare Wahlmöglichkeit, ob sie personalisierte Werbung wünschen oder nicht“ bzw. wird „die Privatsphäre für ein grundsätzliches Menschenrecht gehalten wird und die Nutzer sollen immer selbst entscheiden, ob ihre Daten geteilt werden und mit wem“.
Ein löblicher Ansatz, hätte Apple das vollends umgesetzt, wäre gar keine Bestrafung erfolgt. Die Realität: Eine Geldstrafe in Höhe von 8 Millionen Euro gegen das Unternehmen Apple Distribution International. „Man werde in Berufung gehen“, so ein Sprecher des Apple Konzerns. Wen wundert’s 😉

Unsere Praxistipps

Millionenstrafe aufgrund von fehlerhaftem Cookie-Banner

Posted by Birgit von Maurnböck

Sie haben es sicher schon einmal auf einer Webseite gesehen: Cookie-Banner, bei denen man zwar „Alle akzeptieren“ klicken kann, beim Ablehnen muss man dann aber in Untermenüs herumsuchen. Das sind zwar nur ein paar Klicks mehr, doch genau das wurde dem TikTok Konzern jetzt zum Verhängnis.

5.000.000€ Strafe

Die französische Datenschutzbehörde veröffentlichte ihre Entscheidung dazu Anfang des Jahres. Sie befand, dass nach Artikel 82 des französischen Datenschutzgesetzes, das Ablehnen von Cookies genauso einfach sein müsse, wie das Akzeptieren der Cookies. Das Erschweren des Ablehnens der Cookies verhindere nämlich die Freiwilligkeit der Einwilligung zur Datenverarbeitung. Erschwerend kam hinzu, dass der Zweck der Cookies und damit der Grund für die Datensammlung nicht ausreichend erklärt wurde. Dieser kleine Fehler kostete dem Tiktok-Konzern stolze 5 Millionen Euro an Bußgeld.

TikTok verspricht Verbesserungen

Schon im Februar will der Konzern seinen Cookie-Banner mit einem „Alle ablehnen“-Button erweitern und die Datenverarbeitungen den Nutzern besser erklären. Tiktok war wegen seines Datenhungers schon öfter mit Kritik konfrontiert, verspricht aber auch in anderen Bereichen weitere Verbesserungen. Während in Großbritannien parallel ein weiteres Verfahren zu Datenschutzverstößen des Konzerns läuft, bei dem die drohende Strafe über 30 Millionen Euro beträgt, reiste der TikTok-CEO Shou Zi Chew Mitte Jänner nach Brüssel, um sich unter anderem über den Datenschutz mit EU-Spitzenbeamten zu beraten. Besprochen wurde auch das 2024 in Kraft tretende Gesetz über digitale Dienste, welches weitere rechtliche Verschärfungen für Unternehmen mit sich bringen wird.

Unsere Praxistipps

Doppelte Strafe: Verantwortlicher und Auftragsverarbeiter haften

Posted by Birgit von Maurnböck

Doppelte Strafe: Verantwortlicher und Auftragsverarbeiter haften

Das Unternehmen „Fortum Marketing and Sales“ wollte die Leistung seines Online-Nutzerportals erhöhen und beauftragte dafür den IT-Dienstleister „Pika“. Bei der Beauftragung geht noch alles mit „rechten Dingen“ zu, doch dann der Schock: Datenpanne! Wegen einer nicht ordnungsgemäß geprüften Datenbank fanden sich Kundendaten im Netz wieder und konnten ohne viel Aufwand kopiert werden. Dritte ließen sich diese Chance natürlich nicht entgehen und schöpften die Daten ab. Die Behörde strafte nicht nur den Auftragsverarbeiter, sondern auch den Verantwortlichen – und diesen sogar mit einer horrenden Summe von über einer Million Euro! Doch wie konnte das trotz existierenden Datenschutz- und IT-Richtlinien passieren? Und warum hafteten beide Unternehmen?

Das Problem

Im Zuge der vermeintlichen Verbesserung der technischen Infrastruktur Fortums wurden Änderungen an eben jener durchgeführt. Der IT-Dienstleister hatte zwar nicht nur unternehmenseigene Sicherheitsrichtlinien und vertraglich festgelegte Anforderungen von Fortum einzuhalten, bei der Anlegung der Kundendatenbank auf einem neuen Server wurde aber beides nicht beachtet. Weder war der Server ausreichend geschützt, noch wurde die Datenbank mit Dummy-Daten getestet. Die Datenbank wurde stattdessen sofort mit echten Kundendaten in Betrieb genommen, was sich als Fehler herausstellen sollte, da sich die Daten frei zugänglich im Netz wiederfanden. Und schlimmer noch: Pika informierte ihre Kunden nicht selbst über die Datenpanne. Das mussten zwei Internetnutzer übernehmen!

Die Behörde entscheidet

Fortum versuchte sich in der Untersuchung der Datenschutzbehörde mit dem Verweis auf ihre vertraglich festgelegten Anforderungen zu verteidigen, schließlich wurde der Meinung des Unternehmens nach die Datenpanne von ihrem Auftragsverarbeiter verursacht. Die polnische Datenschutzbehörde stellte aber fest, dass Fortum den Auftragsverarbeiter auf die Wirksamkeit von technischen und organisatorischen Maßnahmen zu prüfen hat. Und das fortlaufend. Fortum versäumte außerdem, die Einführung der Maßnahmen sicherzustellen, was die Behörde auch als Pflicht des Verantwortlichen sieht. Beide Firmen verstießen also gegen die DSGVO – Pika wegen der Nichtergreifung geeigneter Maßnahmen und Fortum, da sie vernachlässigten, (nicht) eingeführte Sicherheitsmaßnahmen zu überprüfen. Die Folge? Fast 1,9 Millionen Euro Strafe für Fortum Marketing and Sales und eine Strafe von über 55.000 Euro für Pika.

Praxistipps

• Prüfen Sie technische Maßnahmen auf ausreichende Sicherheit bei Ihren IT-Dienstleistern regelmäßig.
• Vertrauen Sie nicht blind auf die vertraglich zugesicherten technischen und organisatorischen Maßnahmen.
• Lassen Sie nachweislich neue IT-Systeme/Applikationen immer vor ihrer Einführung mit Dummy-Daten testen!
Und fragen Sie am besten uns, wenn Sie Fragen haben! 😉

53.154 € Strafe für eine vom Kunden selbst verursachte Datenpanne?

Posted by Birgit von Maurnböck

Wenn Sie unseren Newsletter regelmäßig lesen, werden Ihnen schon so manche Tipps geläufig sein, wie Strafen der Datenschutzbehörde vermieden werden können. Eine im November 2022 erlassene Entscheidung zeigt, dass Sie Datenpannen auch dann nicht auf die leichte Schulter nehmen sollten, wenn der Betroffene das Leck seiner Daten selbst herbeigeführt hat.

Was war passiert?

Ein Kunde schloss einen Vertrag mit einem Telekommunikationsunternehmen ab. Im Zuge dessen gab er seine E-Mailadresse an, um den Vertrag auch auf elektronischem Weg zu erhalten. Nachdem der Kunde seine Daten mit Unterschrift als richtig bestätigte, wurde der Vertrag automatisch an die angegebene Mailadresse geschickt. Im Nachhinein fiel dem Kunden auf, dass er bei Vertragsabschluss irrtümlich eine falsche E-Mailadresse angegeben hatte und meldete dies dem besagten Unternehmen. Bereits zu diesem Zeitpunkt hätte dem Unternehmen klar sein sollen, dass es zu einer Datenpanne gekommen war. Ein Verstoß der DSGVO war für das Unternehmen jedoch nicht erkennbar und es kam daher nicht auf die Idee den Vorfall der Datenschutzbehörde zu melden. Immerhin hatte der Kunde seine E-Mailadresse ja freiwillig mit dem Wissen angegeben, dass eine Kopie seines Vertrages an die von ihm angegebene und  als richtig bestätigte Adresse geschickt werden würde.

Inzwischen wandte sich der (dann falsche) Empfänger der E-Mail an die polnische Datenschutzbehörde, da ihm vom Telekommunikationsunternehmen der Vertrag zugeschickt wurde, der offensichtlich für eine andere Person mit demselben Namen bestimmt war. Der Vertrag enthielt personenbezogene Daten wie Name, Adresse, Telefonnummer, Personalausweisnummer und PESEL-Nummer (nationale Identifikationsnummer).

Die Behörde sah dies natürlich als Datenpanne und verhängte gegen das Unternehmen eine Strafe in der Höhe von umgerechnet 53.154 €.

Warum wurde das Unternehmen bestraft und wie hätte die Strafe vermieden werden können?

Die Tatsache, dass der Kunde selbst seine E-Mailadresse angegeben und auch bestätigt hatte, änderte nichts daran, dass es sich um eine Datenschutzverletzung mit hohem Risiko einer realistischen negativen Beeinträchtigung der Rechte und Freiheiten des Kunden handelte. Das Unternehmen hätte die falsche Email-Adresse auf keinen Fall mehr verwenden dürfen. Die Datenpanne hätte jedenfalls an die Datenschutzbehörde gemeldet werden müssen und auch der Kunde hätte über die Verletzung des Schutzes seiner Daten informiert werden müssen.

Erschwerend wertete die Datenschutzbehörde insbesondere die Art und den Inhalt der betroffenen Daten. Das Risiko einer Datenpanne und der soziale und wirtschaftliche Wert der Daten hätten dem Unternehmen bewusst sein müssen. Erschwerend war auch die Tatsache, dass keine Meldung an die Behörde erfolgte, obwohl das Unternehmen bereits zweimal, sowohl vom Kunden, als auch dem Empfänger des Vertrages, über die erfolgte Datenschutzverletzung informiert worden war.

Unsere Praxistipps bei Datenpannen

• Verständigen Sie unverzüglich (jedoch LÄNGSTENS binnen 72 Stunden) die zuständige Aufsichtsbehörde.
• Informieren Sie bei hohem Risiko die betroffene Person, auch wenn Sie davon ausgehen, dass sie schon von der Datenschutzverletzung Kenntnis hat.
• Kontaktieren Sie uns, wir unterstützen Sie bei Datenpannen 24/7 😉

Datenpanne – bezahlt mit eigenen Daten?

Posted by Birgit von Maurnböck

Haben Sie in den letzten Jahren, genauer seit dem Jahr 2018 die Vergleichsportale bzw. Online-Marktplätzen von Check24, Idealo, Tyre24 oder hood.de genutzt? Dann hoffen wir, dass sich Ihre Käufe gelohnt haben. Unter Umständen haben Sie die Waren dort nämlich nicht nur mit Geld, sondern auch mit Ihren Daten bezahlt!

Was war passiert?

Die eingangs erwähnten deutschen Unternehmen bieten neben einem (Preis-)Vergleichsportal die Möglichkeit an, über sogenannte Online-Marktplätze die verglichenen Waren auch zu erwerben. Ähnlich wie bei dem Onlineportal Willhaben werden dabei Produkte auch über Dritthändler angeboten, die mittels einer Schnittstelle mit dem Online-Marktplatz verbunden sind.

Diese Schnittstelle war in dem Fall auch die Schwachstelle: Nicht ausreichend geschützt und in der Folge wurden jahrelang Kundendaten (Adressdaten, Bankdaten, etc.) von mehr als 700.000 Personen im Netz offengelegt und konnten ohne Schwierigkeiten ausgelesen werden.

Warum wurden die Betroffenen über das Datenleck nicht informiert?

Wie so oft wird versucht, die Verantwortung auf den jeweils anderen zu schieben. Laut eigenen Aussagen seien die Online-Marktplätze (und damit Check24, Idealo, etc.) nicht die Bösen und schon gar nicht verantwortlich. Eine Vertragsbeziehung wird nicht mit ihnen abgeschlossen, sondern erfolgt vielmehr zwischen der Kundschaft und den Drittanbietern.

Mehrere deutsche Landesdatenschutzbeauftragte sehen das aber anders und die Onlinehändler sehr wohl in der Pflicht, da jede Person einerseits seine Daten direkt bei den Betreibern der Online-Marktplätze hinterlegt und andererseits oftmals gar nicht weiß, dass er überhaupt einen Vertrag mit einem Dritthändler abschließt.

Was Sie als Kunde/Kundin tun können

In jedem Fall überprüfen, ob Sie seit dem Jahr 2018 bei einem der genannten Online-Marktplätze eingekauft haben. Ob und in welchem Ausmaß Ihre Daten von dem Datenleck betroffen waren, lässt sich schwer feststellen. Seiten wie https://haveibeenpwned.com/ geben einen groben Aufschluss darüber, ob z.B. die eigene E-Mail-Adresse von einem Data Breach betroffen ist.

Unter Umständen haben Sie auch einen Anspruch auf Schadenersatz, den Art 82 DSGVO explizit vorsieht. Gerne unterstützen wir Sie auch in diesem Zusammenhang.

Unsere Praxistipps

Interessenkonflikt Datenschutzbeauftragter: 525.000€ Strafe

Posted by Birgit von Maurnböck

 

Der Datenschutzbeauftragte im Unternehmen

Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft Unternehmen, die in bestimmten Bereichen angesiedelt sind, zum Beispiel Banken, Versicherungen, Kreditauskunfteien. Und natürlich Unternehmen, die von Berufs wegen Daten verarbeiten, wie jegliche IT-Dienstleister (Auftragsverarbeiter!), APP-Anbieter, Softwareanbieter. Darüber hinaus, auch Unternehmen, die sensible Daten verarbeiten, wie Gesundheitsdienstleister, Ärztezentren, Krankenhäuser, und etliche andere mehr. Freiwillig bestellen kann natürlich jedes Unternehmen einen oder eine. Dies wird auch immer populärer, einerseits aus Gründen der Rechtssicherheit, andererseits aus Gründen des Marketings („wir passen besonders gut auf Ihre Daten auf“).  Hat ein Unternehmen einen eigenen Datenschutzbeauftragten (freiwillig) bestellt, nimmt dieser dort auch eine wichtige Stellung ein: Er oder sie berät das Unternehmen hinsichtlich datenschutzrechtlicher Pflichten und stellt sicher, dass alle Datenschutzvorschriften eingehalten werden (das ominöse, mit Malware versehene Testmail an alle Mitarbeiter zur Schaffung von Awareness kommt von ihm! Oder ihr ;-)).

Auf Grund dieser wichtigen Rolle schreibt die DSGVO vor, dass diese Position nur Personen ausüben dürfen, die keinem Interessenkonflikt durch andere Aufgaben unterliegen (Art 38 Abs. 6 DSGVO).

Wer, wie, was, Konflikt?

Ein solcher Interessenkonflikt lag bei einem Datenschutzbeauftragten einer Tochtergesellschaft eines E-Commerce-Konzerns in Berlin vor. Der Mann war nämlich nicht nur Datenschutzbeauftragter des Unternehmens sondern freundlicherweise auch noch Geschäftsführer von zwei Gesellschaften, die im Auftrag des Unternehmens personenbezogene Daten verarbeiteten. Damit nicht genug, sind die beiden Gesellschaften auch noch Teil des Konzerns. Also alles unter einem Dach, kein Problem, oder?

Die Ansicht der Berliner Aufsichtsbehörde

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDl) sah das naturgemäß anders: „Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden“, so ein Sprecher des BlnBDl. So aber im vorliegenden Fall geschehen, da der Datenschutzbeauftragte des E-Commerce Unternehmens die Einhaltung des Datenschutzes nicht nur im Unternehmen, für das er bestellt war, überwachen musste, sondern eben auch im Rahmen der Auftragsverarbeitung für die beiden Dienstleistungsgesellschaften, die von ihm selbst als Geschäftsführer geleitet wurden. Laut BlnBDI und wohl auch für viele Leserinnen und Leser dieses Beitrags ein eindeutiger Interessenkonflikt!

Die Folge: Eine Verwarnung des BLNBDI im Jahr 2021 und da sich am Prozedere der Doppelfunktion im Unternehmen seitdem nichts geändert hatte – ein Bußgeld in Höhe von 525.000 Euro!

Unsere Praxistipps

 

 

 

Hurra, das HinweisgeberInnenschutzgesetz ist (fast) da!

Posted by Birgit von Maurnböck

Unter dem etwas sperrigen Titel „HinweisgeberInnenschutzgesetz (HSchG)“ hat der Österreichische Gesetzgeber im Juni 2022 endlich einen Gesetzesentwurf geliefert, der die Whistleblowing EU-Richtlinie lokalgesetzlich umsetzen soll. Eine Beschlussfassung im österreichischen Parlament steht zwar noch aus, sollte jedoch nur mehr Formsache sein. Wir rechnen noch im Herbst damit. Nachdem die Whistleblowing Richtlinie jedoch sehr klar formuliert ist, wäre aus unserer Sicht die Einführung im Unternehmen bereits im Dezember 2021 notwendig gewesen. Hier die wichtigsten Punkte, die für Sie als Unternehmer umzusetzen sind.

 

Warum so ein Gesetz und wer ist Whistleblower?

Unter Hinweisgeber oder eben Whistleblower versteht man sämtliche Personen, die im beruflichen Umfeld Verstöße gegen österreichisches Recht sowie Unionsrecht melden wollen. Diese Personen (z.B. Mitarbeiter, Bewerber, Praktikanten, Mitglieder von Leitungsorganen, Lieferanten, etc.) gilt es gezielt zu schützen, etwa dass keine zivil-, straf-, oder verwaltungsrechtliche Haftung nach einer Meldung besteht oder dass diese in der Folge z.B. nicht gekündigt werden.

 

Bin ich von der Umsetzung betroffen?

Wenn Sie ein Unternehmen mit 50 oder mehr Mitarbeitenden führen- ja. Hier macht der Gesetzgeber keine Unterschiede. Für Unternehmen mit weniger als 250 Beschäftigten sind die Bestimmungen allerdings erst bis 18.12.2023 umzusetzen, für alle anderen sofort ab Inkrafttreten des Gesetzes. Achtung: Für Unternehmen der Finanzbranche (juristische Personen, also GmbHs und AGs) gibt es keine Einschränkungen. JEDES dieser Unternehmen, egal, wie viele Mitarbeitende beschäftigt werden, hat eine Meldestelle einzuführen.

 

Was ist zu tun?

Es ist ein internes, sicheres und natürlich DSGVO-konformes Meldesystem einzurichten. Wie das ausgestaltet ist, überlässt der Gesetzesentwurf jedem Unternehmen selbst, empfehlenswert ist aus unserer Sicht jedenfalls die Umsetzung mittels einer eigenen Whistleblower-Software.
Lesen Sie dazu in einem unserer nächsten Newsletter, wie auf eingehende Meldungen reagiert werden muss!

 

Gibt es Strafen bei Nichtumsetzung oder für Falschmeldungen („Vernaderungen“)?

Ja! Wer gegen das Bundesgesetz verstößt, also z.B. keinen Meldekanal einrichtet, Meldungen behindert oder Vergeltungsmaßnahmen gegen Whistleblower nach einer Meldung vornimmt, kann mit bis zu 20.000 Euro (im Wiederholungsfall bis zu 40.000 Euro) bestraft werden! Ebensolchen Strafen unterliegt auch jede Person, die unwahre Behauptungen gegen ein Unternehmen vorbringt – also sind auch wir Unternehmer geschützt.

Unsere Praxistipps

Mitarbeiter löschen oder 1.000 Euro DSGVO-Strafe!

Posted by Birgit von Maurnböck

Dass die Nichteinhaltung der DSGVO teuer werden kann, darüber haben wir Sie schon in zahlreichen Newsbeiträgen informiert. Auch unser heutiges Beispiel soll Ihnen helfen, Geld für wirklich Wichtiges zu sparen.

Aufgepasst, Gerichte scheuen sich nicht mehr, zu Schadenersatzzahlungen in 4stelliger Höhe zu verurteilen. So auch ein Arbeitsgericht (ArbG Neuruppin) im Bezirk Berlin.

Kurz vor Weihnachten 2021 wurden einer Klägerin 1.000 Euro Schadenersatz zugesprochen. Die Dame hatte bei der Beendigung ihres Dienstverhältnisses ihren Dienstgeber aufgefordert, ihre Daten von der Webseite zu entfernen. Die ehemalige Mitarbeiterin musste die Aufforderung ein weiteres Mal durch ihren Anwalt vorbringen. In Folge dessen hat der ehemalige Dienstgeber eine Unterlassungserklärung abgegeben und 150 Euro an die Betroffene bezahlt.

VÖLLIG UNVERSTÄNDLICH: Die Daten wurden dennoch nicht von der Webseite entfernt!

Folgendes hat das Gericht festgestellt:

Die Klägerin wurde  weiterhin auf der Internetseite des beklagten Unternehmens geführt, obwohl sie dort nicht als Biologin tätig war, sondern lediglich im Büromanagement beschäftigt wurde, insofern waren die Daten auch nicht zutreffend. Dabei spielt es entgegen der Ansicht der Beklagten auch keine Rolle, dass die Klägerin mit ihrem „Mädchennamen“ dort aufgeführt wird und nicht mit ihrem tatsächlichen „Doppelnamen“. Bereits dadurch wurde die Klägerin in ihren Persönlichkeitsrechten verletzt.

Die Betroffene musste in diesem Fall keinen entstandenen Schaden beweisen. Das Gericht hat auf Basis des Art. 82 DSGVO einen Schadenersatz in Höhe von 1.000 Euro (abzüglich der bereits bezahlten 150 Euro) als angemessen erachtet.

Allerdings: Die Dame wollte (wohl motiviert durch ihren Rechtsanwalt) eigentlich 5.000 Euro Schadenersatz erhalten. Das war dem Gericht dann doch zu viel. Und: Wenn man viel zu viel einklagt, muss man dann auch selber die Kosten tragen, nämlich in diesem Fall 4/5 der Gesamtkosten des Gerichtsverfahrens. Als kleine Anekdote nebenbei.

Falls Sie die Details zum Urteil wissen möchten, finden Sie diese unter folgendem Link  https://openjur.de/u/2393301.html.

Unsere Praxistipps

Bei der Formulierung von Einwilligungen helfen Ihnen MeineBerater jederzeit gerne 😉

Geldstrafen für Geschäftsführer?

Posted by Birgit von Maurnböck

Strafe 1.100 Euro, Kostenbeitrag 110 Euro für den Geschäftsführer! Aus einem aktuellen Erkenntnis des Bundesverwaltungsgerichts vom 27. Jänner 2022 ergibt sich, dass ein Geschäftsführer zu 1.100 Euro Geldstrafe zuzüglich 110 Euro Kostenbeitrag für das Strafverfahren verurteilt wurde. Grund: Trotz angeblicher Erfüllung eines Löschbegehrens des Betroffenen und Bestätigung des Unternehmens, dass die Daten gelöscht wurden, wurden weitere „Newsmails“ an den Betroffenen versendet.

Was ist passiert?

Der Betroffene hatte sich selbst bei einer Verlagsgesellschaft zum Newsletter sowie einem online Abonnement angemeldet und hierfür seine Email Adresse bekannt gegeben. Er wollte seine Daten nach einiger Zeit wieder löschen lassen. Dafür hat der Betroffene ein Löschbegehren an die korrekte Datenschutzadresse der Verlagsgesellschaft gesendet. Diese hat die Löschung auch bestätigt. Aber: Die Verlagsgesellschaft hat das online Abonnement und den Newsletter als zwei unterschiedliche Dienstleistungen angesehen und nur für das online Abonnement die Email Adresse gelöscht. Vom Newsletter hätte sich der Betroffene – so die Verlagsgesellschaft – gesondert abmelden müssen.

Was sagt das Bundesverwaltungsgericht dazu (sorry, sehr juristisch ;-))?
„Dabei ist zu beachten, dass die Auslegung der Erklärung am Empfängerhorizont zu messen ist, wobei die aus der Erklärung abzuleitenden Rechtsfolgen nicht (nur) danach zu beurteilen sind, was der Erklärende sagen wollte oder was der Erklärungsempfänger darunter verstanden hat, sondern wie die Erklärung bei objektiver Beurteilung der Sachlage durch einen redlichen und verständigen Menschen zu verstehen war. […]

Wie die Formulierung zeigt, sieht das BVwG den Newsletter und das online Abonnement nicht getrennt, da bei „objektiver Beurteilung“ erkennbar ist, dass für beide Dienstleistungen die Email Adresse benötigt wird. Für Detailverliebte hier der Link zum gesamten Erkenntnis vom 27.01.2022, W 1482247976-1/9E W 1482258164-1/9E.

Also muss der Betroffene auch nicht alle Dienstleistungen/Verarbeitungen anführen, für welche seine Daten zu löschen sind. Das datenverarbeitende Unternehmen muss jedoch die personenbezogenen Daten im Gesamten betrachten.

Fazit

Die Email Adresse hätte im Zuge des Löschbegehrens an allen Stellen und aus allen Diensten gelöscht werden müssen.
Da Geschäftsführer gemäß § 9 (1) VStG haften und in diesem Fall keine anderen verantwortlichen Beauftragten genannt waren, trifft den Geschäftsführer der Verlagsgesellschaft die Strafe in Höhe von 1.100,- Euro zuzüglich Kostenbeitrag persönlich! Ganz zu schweigen von den Anwaltskosten.

Unsere Praxistipps